В информационной системе персональных данных (ИСПДн) должно обеспечиваться блокирование сеанса доступа пользователя после установленного оператором персональных данных времени его бездействия (неактивности) в ИСПДн или по запросу пользователя.
Блокирование сеанса доступа пользователя в ИСПДн обеспечивает временное приостановление работы пользователя со средством вычислительной техники, с которого осуществляется доступ к ИСПДн (без выхода из ИСПДн).
Для заблокированного сеанса должно осуществляться блокирование любых действий по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса.
Блокирование сеанса доступа пользователя в ИСПДн должно сохраняться до прохождения им повторной идентификации и аутентификации в соответствии с ИАФ.1.
Правила и процедуры блокирования сеансов доступа регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
Требования к усилению УПД.10:
1) в ИСПДн обеспечивается блокирование сеанса доступа пользователя после времени бездействия (неактивности) пользователя:
а) до 15 минут;
б) до 5 минут;
2) в ИСПДн на устройстве отображения (мониторе) после блокировки сеанса не должна отображаться информация сеанса пользователя (в том числе использование «хранителя экрана», гашение экрана или иные способы);
3) в ИСПДн обеспечивается завершение сеанса пользователя (выхода из системы) после превышения установленного оператором персональных данных времени бездействия (неактивности) пользователя.
Содержание базовой меры УПД.10:
Мера защиты персональных данных | Уровень защищенности персональных данных | |||
4 | 3 | 2 | 1 | |
УПД.10 | + | + | + | |
Усиление УПД.10 | 1а, 2 | 1б, 2 |